18. Tätigkeitsbericht (1996)


6.

Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung

6.1

Erfahrungen mit der neuen Datenschutzverordnung

"Von Praktikern überwiegend akzeptiert, von Entscheidungsträgern häufig ignoriert", auf diese kurze Formel lassen sich die Erfahrungen mit der neuen Datenschutzverordnung bringen. Trotzdem haben die neuen Regelungen eine Trendwende eingeleitet.

Da man mit der Festschreibung von Grundsätzen für eine sichere und ordnungsgemäße Datenverarbeitung in Form einer Rechtsverordnung datenschutzrechtliches Neuland betreten hat (vgl. 16. TB, Tz. 6.2 ), haben wir mit großer Spannung verfolgt, welche Akzeptanz die Datenschutzverordnung in der Praxis erfahren würde. Die ersten Reaktionen der "Verwaltungsdatenverarbeiter" während der zahlreichen Schulungsveranstaltungen in der DATENSCHUTZAKADEMIE, bei einzelnen Behörden und in unserem Haus waren bei weitem positiver, als wir zunächst vermutet hatten. Bezeichnend ist jedoch eine von den Praktikern häufig gebrauchte Formulierung: "Für mich ist die Angelegenheit jetzt klar. Wer überzeugt aber meinen Amtsleiter?"

Das sich dahinter verbergende Grundproblem ist auch in den Beratungsgesprächen und datenschutzrechtlichen Prüfungen des letzten Jahres deutlich zutage getreten: Bei denjenigen Mitarbeitern, die für die Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung unmittelbar zuständig sind, setzt sich immer mehr die Erkenntnis durch, daß die in der Verordnung geregelten Sicherheitsaspekte der Datenverarbeitung genauso wichtig sind wie die Fragen der Rechtmäßigkeit und Richtigkeit der Ergebnisse. Insoweit ist eine positive Trendwende gegenüber der früher vorherrschenden Einstellung der "Macher" unverkennbar.

Im gleichen Maße tut sich jedoch ein Graben zu denjenigen auf, die die erforderlichen personellen, organisatorischen und sachlichen Voraussetzungen zu schaffen haben, nämlich die Entscheidungsträger in den Behördenspitzen und in den sonstigen Leitungsgremien (Kommunalparlamente, übergeordnete Behörden, Aufsichtsgremien usw.). Vielen von ihnen ist das Hemd der kurzfristigen Rationalisierungseffekte noch immer näher als die Jacke einer auf Dauer funktionierenden, professionellen Datenverarbeitung. Diese unterschiedlichen Wirkungen der Datenschutzverordnung lassen sich an folgendem deutlich machen:

Das Landesdatenschutzgesetz und die Datenschutzverordnung enthalten zu dem Thema "Sicherheit und Ordnungsmäßigkeit" Bestimmungen, die sich in nur 15 Grundregeln zusammenfassen lassen.

  • Bereits in der Planungsphase sind Sicherheitskonzepte und Risikoanalysen zu erstellen (vgl. hierzu Tz. 6.2).

  • Es ist frühzeitig festzulegen, in welchem Umfang Verfahrensabläufe zur Durchführung von Kontrollen zu dokumentieren sind.

  • Die tatsächlich eingesetzte Hard- und Software ist vollständig zu registrieren.

  • Die Datenstrukturen sind in Dateibeschreibungen darzustellen.

  • Alle automatisierten Verfahren sind in Form von Aufgaben- und Verfahrensbeschreibungen zu dokumentieren.

  • Unbefugten ist der Zugang zu bzw. die Benutzung von Datenverarbeitungsgeräten zu verwehren.

  • Unbefugte Speicherungen sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten ist zu verhindern. Dabei ist zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.

  • Es ist zu gewährleisten, daß überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in das Datenverarbeitungssystem eingegeben worden sind.

  • Es ist zu gewährleisten, daß überprüft und festgestellt werden kann, an wen welche Daten übermittelt worden sind.

  • Es ist zu verhindern, daß bei der Übertragung von Daten sowie während der Lagerung und des Transports von Datenträgern Daten unbefugt gelesen, kopiert, verändert, gelöscht oder entwendet werden können. Bei mobilen Datenverarbeitungsgeräten (z.B. Laptops) sind Datenbestände zu verschlüsseln.

  • Es ist sicherzustellen, daß verändernde Zugriffe auf Programme zur Systemsteuerung und auf freigegebene Anwendungsprogramme nur durch dazu ausdrücklich bestimmte Personen erfolgen können.

  • Vor Aufnahme der Verarbeitung sind die Programme und Verfahren zu testen, Art, Umfang und Ergebnis der Tests sind zu protokollieren.

  • Automatisierte Verfahren dürfen erst eingesetzt werden, nachdem die datenverarbeitende Stelle mit der Freigabe die Verantwortung für die Ordnungsmäßigkeit des Verfahrens übernommen hat; die Freigabe ist zu protokollieren.

  • Die ordnungsgemäße Anwendung der Datenverarbeitungsverfahren und insbesondere die Arbeit der Systemadministration ist durch weisungsbefugte Mitarbeiter oder deren Beauftragte kontinuierlich zu überwachen.

  • Für den Fall, daß externe Dienstleister eingesetzt werden, sind diese sorgfältig auszuwählen, ihnen sind detaillierte schriftliche Weisungen zu erteilen, und es ist zu gewährleisten, daß die Daten nur im Rahmen dieser Weisungen verarbeitet. werden können.

Fragt man einen Praktiker, ob eine oder mehrere dieser Grundregeln entbehrlich, praxisfremd oder gar im Ergebnis falsch seien, wird man wie wir in unseren Beratungsgesprächen in der Regel die Antwort erhalten, sie seien "schon in Ordnung", letztlich werde durch sie eine vernünftige Richtschnur festgelegt.

Konfrontierten wir jedoch die Entscheidungsträger mit den logischen Konsequenzen aus der Beachtung der von ihren eigenen Mitarbeitern gutgeheißenen Grundsätze ordnungsgemäßer Datenverarbeitung, wurde uns häufig ein ganzer Strauß von (angeblich) gerade in diesem besonderen Fall unüberwindbaren Sachzwängen entgegengehalten:

  • Man sei ja für eine ausreichende Planungsphase und für Sicherheitskonzepte. Aus Zeitgründen habe man aber bereits jetzt mit der Verarbeitung von Echtdaten beginnen müssen. Die Sicherheitslücken würden zu einem späteren Zeitpunkt geschlossen (vgl. Tz. 6.2).

  • Für die effektive Verwaltung der Hardware und die Dokumentation der Verfahren fehle zur Zeit das Personal. Sobald jemand freigesetzt werden könne, werde man alles nachholen.

  • Differenzierte Zugangs-, Benutzungs- und Zugriffsregelungen stünden einem im Augenblick unabdingbaren flexiblen Personaleinsatz entgegen.

  • Bezüglich der Protokollierung von Verarbeitungsabläufen müsse man Rücksicht auf die Akzeptanz der Mitarbeiter und auf die Personalräte nehmen.

  • Die Kontrolle der Systemadministratoren und der externen Dienstleister sei wegen der hierzu erforderlichen Fachkenntnisse sehr kostenaufwendig. Wichtig sei, daß man Vertrauen habe.

  • Bezüglich der Intensität der Tests als Voraussetzung für die Freigabe von automatisierten Verfahren müsse doch "die Kirche im Dorf bleiben". Schließlich passierten ja auch bei der konventionellen Datenverarbeitung Fehler (vgl. Tz. 6.3).

  • Im übrigen koste alles Geld, das nun einmal wegen der "im Augenblick angespannten Finanzlage" definitiv nicht zur Verfügung stehe.


Das zeigt, daß bezüglich der notwendigen Maßnahmen zur Umsetzung der Regelungen des Landesdatenschutzgesetzes und der Datenschutzverordnung in vielen Fällen auf der "Arbeitsebene" einfacher ein Konsens zu erzielen ist als auf der Managementebene. Dies sollte dem Gesetzgeber, den Aufsichtsbehörden und den Behördenleitungen zu denken geben. In dem Maße, wie die Komplexität der Automatisierung steigt, werden derartige Fehlentscheidungen der Verantwortlichen an rechtlicher und auch an wirtschaftlicher Tragweite gewinnen. Hierzu gibt es bereits erste Beispiele (vgl. Tz. 6.2).

Was ist zu tun?
Die Leitungsebene der Verwaltungen muß die Datenschutzverordnung konsequent umsetzen.

6.2

Sicherheitskonzepte ohne Wenn und Aber

Jährlich werden vom Land, den Kommunen und den sonstigen öffentlichen Stellen mehrstellige Millionenbeträge in die Beschaffung neuer Computer und Programme investiert. Wegen fehlender Sicherheitskonzepte geht man bei der Benutzung der neuen Systeme vielfach unvertretbare Risiken ein. Fast scheint es, als wollte man mit Absicht erst aus Fehlern lernen.

Wir könnten uns die Sache einfach machen: In der Datenschutzverordnung ist verbindlich vorgeschrieben, daß bereits in der Planungsphase automatisierter Verfahren Sicherheitskonzepte zu entwickeln sind (vgl. auch Tz. 6.1). Stellen wir bei Prüfungen fest, daß dies nicht geschehen ist, könnten wir eine Beanstandung aussprechen und die betreffende Behörde auf die durch Planungsmängel entstandenen Sicherheitslücken hinweisen. Im günstigsten Falle würde die Behörde nachbessern, im ungünstigsten Fall blieben die Lücken bestehen.

Es dürfte allen einsichtig sein, daß dies auf Dauer kein gangbarer Weg ist. Wie können wir aber erreichen, daß im Hinblick auf die derzeit zu beobachtende Ausweitung der automatisierten Datenverarbeitung im Lande die Aspekte der Sicherheit, Revisionsfähigkeit und Ordnungsmäßigkeit nicht auf der Strecke bleiben? Führen wir uns vor Augen: Im Augenblick werden jährlich mehrstellige Millionenbeträge vom Land, von den Kommunen und den sonstigen öffentlichen Stellen in neue Projekte der Informations- und Kommunikationstechnik investiert. Das Spektrum ist so breit und vielschichtig, daß offensichtlich niemand im Land einen genauen Überblick hat. Uns sind z.B. folgende in der Planung bzw. Realisierung befindlichen Großprojekte bekannt:

  • COMPAS - Bürokommunikation und Arbeitsplatzautomation im Bereich der Landespolizei (vgl. Tz. 4.2.8),

  • MEGA - Geschäftsstellenautomation der Gerichte (vgl. Tz. 5.1),

  • MOSAIK - Neugestaltung des Computereinsatzes in der Kommunalverwaltung (vgl. Tz. 6.7.3),

  • FIS - Finanzinformationssystem der Kommunen (vgl. Tz. 6.7.3),

  • ALK - Automation des Liegenschaftskatasters,

  • FISKUS - Verbundentwicklung der IT-gestützten Besteuerungsverfahren,

  • IKOTECH II - zweite Ausbaustufe des Bürokommunikationssystems der Landesregierung,

  • INVEKOS - automatisierte Verfahren zur Struktur- und Einkommensförderung im Bereich der Landwirtschaft,

  • Personalverwaltungs- und -managementsystem für den kommunalen Bereich,

  • Personalverwaltungs- und -managementsystem für den Bereich des Landes,

  • Patienteninformationssysteme in öffentlichen Krankenhäusern,

  • verschiedene Umweltinformationssysteme.

Die Aufzählung erhebt keinen Anspruch auf Vollständigkeit, zumal praktisch in allen Verwaltungszweigen weitere Projekte in den Schubladen liegen.

Soweit die Projekte in der IT-Kommission des Landes oder in der Automationskommission der kommunalen Landesverbände beraten worden sind (in beiden Gremien sind wir mit beratender Stimme vertreten), mußten wir feststellen, daß in keinem einzigen Fall bereits in der Planungsphase ein Sicherheitskonzept bestanden hat, das diesen Namen wirklich verdiente. Das Thema "Datenschutz und Datensicherheit" wurde in den Beschlußvorlagen in der Regel auf knapp einer Seite mit dem Hinweis auf die Wichtigkeit und die Notwendigkeit, insoweit noch ergänzende Untersuchungen anzustellen, abgetan. Gleichwohl ist von diesen Steuerungsgremien bisher kein Automationsvorhaben gestoppt worden. Uns blieb in den Sitzungen nur die Möglichkeit, mahnend darauf hinzuweisen, daß nicht nur gegen datenschutzrechtliche Vorschriften verstoßen werde, sondern auch gegen die eigenen Richtlinien der Gremien (vgl. 15. TB, Tz. 6.3.3).


Dabei handelt es sich keineswegs nur um Formalien. Wie die unter Tz. 6.7 dargestellten Prüfungsergebnisse zeigen, bedingen die zur Zeit auch in kleinen Organisationseinheiten installierten Hochleistungs-IT-Systeme eine professionelle Administration, soll sich ihr Nutzen nicht in unbeherrschbare Risiken verkehren. Wenn aber weder der zum Systembetreuer "gemachte" Mitarbeiter noch sein Vorgesetzter geschweige denn der Behördenleiter überhaupt wissen, welche Risiken die von ihnen praktizierte Form der automatisierten Datenverarbeitung birgt, muß man sich nicht wundern, wenn bei Prüfungen Sicherheitsmängel gleich dutzendweise festgestellt werden. Deren nachträgliche Beseitigung kostet in der Regel erheblich mehr Geld, als wenn man von Anfang an die Vorschriften beachtet hätte. So nimmt es nicht wunder, daß sich uns bezüglich dieser Problematik ein Mitstreiter angeschlossen hat. Der Landesrechnungshof hat in einem Prüfbericht gegenüber dem Finanzminister die Forderung erhoben, alle Haushaltsmittel für Investitionen in IT-Projekte zunächst mit einem Sperrvermerk zu versehen. Die Freigabe der Mittel sollte vom Vorliegen eines geprüften Sicherheitskonzeptes abhängig gemacht werden. Dem können wir uns nur anschließen.

Was ist zu tun?
Bei der Planung neuer Datenverarbeitungsverfahren ist die Erarbeitung eines Sicherheitskonzeptes von Anfang an unverzichtbar.

6.3

Pilotprojekte - alter Wein in neuen Schläuchen

Bei der Entwicklung neuer automatisierter Verfahren dürfen die Bürger nicht dadurch zu "Versuchskaninchen" werden, daß man ihre Daten in unzulänglich ausgereiften und schlecht abgesicherten Pilotprojekten zu Testzwecken benutzt.

Wenn ein Unternehmen einen neuen Auto- oder Flugzeugtyp entwickelt, durchläuft dieser als Prototyp und als Vorserie eine große Anzahl von Praxistests. Dabei wird unter möglichst realitätsnahen Bedingungen geprüft, ob die aufgrund theoretischer Modelle entwickelte Konstruktion tatsächlich die Anforderungen erfüllt, die man an sie stellt. Je größer die Sicherheitsrisiken sind, um so intensiver sind diese Tests. Allein schon aus Haftungsgründen käme kein Hersteller auf die Idee, diese Testphase mit den bzw. an den Kunden selbst durchzuführen.

Im Bereich der Entwicklung von automatisierten Verfahren zeichnet die Realität ein deutlich anderes Bild. Nicht nur, aber gerade in der öffentlichen Verwaltung versucht man, den Zeitrahmen und damit die Kosten für die Konzeptions- und Testphase weitestgehend zu reduzieren. Dabei treten altbekannte und kritisierte Verfahrensweisen nicht selten in einem neuen Gewand auf. Haben wir uns in früheren Jahren gegen ausschließliche Tests durch die Programmierer selbst und gegen Tests mit Echtdaten gewandt (vgl. 13. TB, Tz. 6.3), so müssen wir heute Bedenken erheben gegen sogenannte Pilotprojekte. Obwohl die Begriffe "Pilotprojekt", "Pilotphase", "Pilotkunde" usw. zunächst ganz unverfänglich erscheinen, verbirgt sich hinter ihnen häufig nichts anderes als die Absicht, ein automatisiertes Verfahren bereits zu einem Zeitpunkt in der Praxis einzusetzen, zu dem noch nicht alle materiell-rechtlichen und sicherheitstechnischen Voraussetzungen geschaffen worden sind. In vielen Fällen ist zum Zeitpunkt der "Pilotierung" noch nicht einmal die Konzeptionsphase abgeschlossen.

Wortreich wird diese Verfahrensweise als besonders "modern", weil effektiv, bezeichnet. Die "konservative" Methode der Softwaretests habe doch gezeigt, daß man mit ihr auch nicht alle Fehler hat aufspüren können. Hier zeigt sich die ungute Dialektik: Unzulänglichkeiten der einen Methode sollen die Schwächen einer anderen rechtfertigen. Wenn mit "unfertigen" Hardware- und Softwarekomponenten "echte" personenbezogene Daten verarbeitet werden, ist das Risiko, daß schutzwürdige Belange der Betroffenen beeinträchtigt werden, unvertretbar hoch. Andernfalls bräuchte man die Verfahren ja nicht weiterzuentwickeln, sie wären ja bereits "O.K."!


Pilotprojekte sind deshalb datenschutzrechtlich nur zu akzeptieren, wenn die betreffenden automatisierten Verfahren konzeptionell und verfahrenstechnisch so weit gediehen sind, daß die im Landesdatenschutzgesetz und in der Datenschutzverordnung vorgegebenen Rahmenbedingungen erfüllt sind. Dies haben die verantwortlichen datenverarbeitenden Stellen durch die Einsatzfreigabe für die "Pilotierung" zu bestätigen.

Was ist zu tun?
Bereits in der Pilotphase muß das Datenschutzrecht in vollem Umfang eingehalten werden.

6.4

Computerdiebstahl - ein neues Phänomen

Werden PC gestohlen, geschieht dies in der Regel wegen des Wertes der Hardware. Man kann aber nicht sicher sein, daß der Dieb nicht auch mit den Datenbeständen Unheil anrichtet. Die Technik bietet hier die wünschenswerte Sicherheit durch Verschlüsselung.

Wird eine Akte gestohlen, dann bestimmt nicht wegen ihres Papierwertes, sondern, um andere zu kompromittieren, Beweismittel verschwinden zu lassen oder um die Tätigkeit der Behörde zu erschweren oder unmöglich zu machen. Im Zeichen der Computerisierung der Verwaltung werden viele papierene Akten durch die PC und die darin arbeitenden Festplatten ersetzt. Dabei entsteht ein überraschender Nebeneffekt: Der reine Papierwert von zwei Schränken voller Akten ist äußerst gering; wird die gleiche Datenmenge in einem PC "gelagert", repräsentiert dieser einen Wert von ca. 5 000 DM. Da lohnt sich ein Diebstahl des "Datenträgers", nicht der Akten.

So ist es nicht verwunderlich, daß uns auch im abgelaufenen Jahr mehr als ein halbes Dutzend Diebstahlsfälle bekanntgeworden sind. Praktisch alle Verwaltungsbereiche waren betroffen. Der Wert der gestohlenen Hardware schwankte pro Fall zwischen wenigen tausend und dreihunderttausend DM. Insbesondere wenn er durch eine Versicherung gedeckt war und die Geräte nicht zur Verarbeitung personenbezogener Daten benutzt werden, bereitete er den betroffenen Behörden kein größeres Kopfzerbrechen. Wer möchte aber in der Haut des Bürgermeisters stecken, aus dessen Standesamt der PC mitsamt aller Registerdaten (Geburten, Heiraten, Sterbefälle usw.) gestohlen wurde? Die Rekonstruktion der Dateien mit Hilfe der Sicherheitskopien war kein Problem. Wer konnte aber wissen, ob der Dieb es nur auf die Hardware abgesehen hatte oder ob er auch Kapital aus dem Inhalt des Personenstandsregisters schlagen wollte? An welcher Stelle und zu welchem Zeitpunkt würden Informationen über "sehr private" Familienverhältnisse prominenter Mitbürger auftauchen?

Nun kann man geltend machen, daß gegen einen Diebstahl mit Gewaltanwendung ohnehin "kein Kraut gewachsen" sei. Der Diebstahl des gesamten Computers sei nun einmal das nicht zu vermeidende Restrisiko. Dieser Standpunkt läßt jedoch die heute gerade durch die Technik verfügbaren Möglichkeiten außer acht (Sicherheit nicht nur wegen, sondern auch durch Technik). Es ist nämlich, wie bereits im 16. Tätigkeitsbericht (Tz. 6.5) in bezug auf tragbare Geräte beschrieben, aufgrund der heutigen internen Verarbeitungsgeschwindigkeiten kein Problem mehr, Datenbestände ohne Zeitverlust so wirksam zu verschlüsseln, daß jedem "normalem" Dieb die Lust daran vergeht, den Code zu knacken.

Als wirksames Mittel nicht gegen Computer-, aber gegen Datendiebstahl ist den Behörden also zu empfehlen:

  • Möglichst alle Arbeitsplatzrechner vernetzen,


  • die Datenbestände vernetzter Rechner zentral und besonders gut gesichert speichern,

  • Datenbestände auf Einzelplatzrechnern verschlüsseln und

  • die verwendeten Verschlüsselungssysteme zentral besonders gesichert verwahren.

Was ist zu tun?
Die Behörden sollten Vorkehrungen treffen, damit der Schaden für die Bürger bei Computerdiebstahl möglichst gering ist.

6.5

Viren nun auch in Dokumenten

Schon seit Jahren weiß man, daß Computerviren nicht nur auf Programmdateien beschränkt sein müssen. Trotzdem wurde die Fachwelt Mitte 1995 von einem Virus überrascht, der sich über Textdokumente ausgebreitet hat.

Die meisten Softwareprodukte für Textverarbeitung, Tabellenkalkulationen usw. erlauben, daß ihre Textdateien Steuerungsbefehle enthalten, die über die Tastatur eingegeben oder per Mausklick ausgeführt werden können. Der Benutzer kann mehrere Befehle zu einem "Makro" zusammenbauen, so daß richtige Programme entstehen. Viele Softwareprodukte stellen selbst eine große Menge von Makrobefehlen bereit, z.B. das Öffnen, Verändern oder Schließen von Dateien oder gar das Ausführen von Systemfunktionen. Auch das in der Verwaltung tausendfach eingesetzte Produkt "Word für Windows" besitzt eine umfangreiche Makrosprache und bietet die Möglichkeit, Makros automatisch auszuführen.

Word-Dokumente, die mit dem als ersten bekanntgewordenen Makrovirus Winword-Concept infiziert sind, enthalten Makrobefehle, die automatisch beim Laden der Datei von "Word" interpretiert und ausgeführt werden. Der Virus manipuliert die globalen Makroeinstellungen der Textverarbeitung und bewirkt, daß von nun an jede Datei beim Speichern ebenfalls infiziert wird.

Kurz nach dem ersten Makrovirus tauchten weitere Viren dieser Familie auf: "Winword-Nuclear" - pikanterweise durch ein Textdokument verbreitet, das vor dem ersten Virus warnte -, "Winword-Colors" und die DMV-Viren für Microsoft-Word und -Excel. Inzwischen soll es allein für Word zehn bis zwölf Makroviren geben. Während der erste Virus keine zerstörerischen Routinen enthält, ist der Winword-Nuclear-Virus so programmiert, daß die Systemdateien von MS-DOS jeweils am 5. April vernichtet werden.

Die heutige Situation ist wie folgt zu beschreiben:

  • Die Makroviren können unabhängig vom Betriebssystem agieren und sich deswegen systemübergreifend ausbreiten.

  • Für jede Anwendung mit einer hinreichend mächtigen Makrosprache können solche Viren programmiert werden, also neben Textverarbeitungen auch für Tabellenkalkulationen oder Datenbanken.

  • Text- und Tabellendokumente werden bedenkenlos per Diskette oder über ein Netz ausgetauscht, obwohl Antivirusprogramme keinen umfassenden Schutz bieten.

  • Sieht die eingesetzte Software nicht vor, die Makrofunktion vollständig abzustellen, läßt sich ein guter Schutz vor Makroviren lediglich mit Hilfe ausgefeilter Zugriffsregelungen erreichen, wie sie zusätzlich installierte Sicherheitswerkzeuge oder Betriebssysteme, die spezielle Sicherheitskriterien erfüllen (z.B. Windows NT), zur Verfügung stellen.


  • Um zu gewährleisten, daß bei einer Weitergabe von Dokumenten im elektronischen Format keine Makroviren verteilt werden, kann man auf Formate ausweichen, bei denen keine Makros abgespeichert werden. Für formatierte Texte bietet sich das Rich Text Format (RTF) an, das von allen gängigen Textverarbeitungen verstanden wird. Für Tabellenkalkulationen kommt das standardisierte Data Interchange Format (DIF) in Frage.

Was ist zu tun?
Die datenverarbeitenden Stellen müssen bei ihren Datensicherheitsmaßnahmen auch der Bedrohung durch Viren in Dokumenten Rechnung tragen.

6.6

Was ist Original, was Kopie?

Änderungen und Ergänzungen schriftlicher Dokumente können in der Regel erkannt werden. Veränderungen an Computerdatenbeständen sind dagegen prinzipiell möglich, ohne Fingerabdrücke zu hinterlassen. Werden Daten ausschließlich in automatisierten Dateien gespeichert, sind Ausdrucke stets nur eine Kopie, so daß besondere Sicherheitsvorkehrungen zum Schutz des "Originals" notwendig sind.

Es mag sein, daß das papierlose Büro auf absehbare Zeit der unerfüllte Wunschtraum der Organisations- und Automationsreferenten bleiben wird. Trotzdem steht die "papierbasierte" Datenverarbeitung vor einem geradezu revolutionären Umbruch. Was im Bereich der Banken, Versicherungen, Bausparkassen und in anderen Bereichen der Wirtschaft bereits Realität ist, zeigt sich in der öffentlichen Verwaltung in ersten Ansätzen. Mehr und mehr Basisinformationen für Abrechnungen, Bescheide, Bewilligungen, Ablehnungen usw. sind nicht mehr in Akten bzw. auf Dokumenten schriftlich fixiert, sondern befinden sich in den "virtuellen Akten" der Rechnersysteme.

Bei der Erstellung eines Kommunalabgabenbescheides dürfte über kurz oder lang durchaus normal sein, daß ein Computerprogramm auf folgende Datenbestände zugreift:

  • Grundstücksdatenbank (zur Ermittlung der Bezeichnung, der Größe, der Art der Nutzung und des Zuschnitts des Grundstücks),

  • Grundstückseigentümerdatei (zur Ermittlung der Abgabepflichtigen),

  • Melderegister (zur Ermittlung der aktuellen Anschrift der Abgabepflichtigen),

  • Melderegister (zur Ermittlung der Anzahl der auf dem Grundstück wohnenden Personen),

  • Energieverbrauchsdatei des Energieversorgungsunternehmens (zur Ermittlung des Wasserverbrauchs),

  • Transportdatei des Entsorgungsunternehmens (zur Ermittlung der Art und des Gewichts des erzeugten Abfalls),

  • Einheitswertdatenbank der Steuerverwaltung (zur Ermittlung des Einheitswertes und der Grundsteuerdaten),

  • Buchhaltungsdatenbank (zur Ermittlung der bereits getätigten Vorauszahlungen),

  • Datei der Bankverbindungen und Einzugsermächtigungen (zur Vorbereitung des Datenaustausches mit Banken und Sparkassen)

  • usw. usw.

In wenigen Millisekunden werden alle Basiswerte eingelesen, die Abgabenmaßstäbe aus Tabellen, die im Computer abgelegt sind, hinzugefügt und ein Bescheid ausgedruckt, der ohne Unterschrift automatisch kuvertiert und abgesandt wird. Auf den Ausdruck einer "Verfügung" für die Akten wird verzichtet, da sie auf Knopfdruck vermeintlich jederzeit an jedem Arbeitsplatz in der Verwaltung in beliebiger Anzahl neu erstellt werden kann.

Was aber, wenn die Basiswerte in der Zwischenzeit durch Eingabe- oder Programmfehler geändert worden sind? Wenn zu verschiedenen Zeiten unterschiedliche Ergebnisse errechnet/ausgedruckt worden sind, welches ist dann maßgeblich? Wer ist für den Inhalt verantwortlich, derjenige, der die Basiswerte, oder derjenige, der die Abgabenmaßstäbe erfaßt hat, oder etwa der Programmierer oder der Systembetreuer? Die Rechtsprechung verlangt für die Wirksamkeit eines Verwaltungsaktes, daß er nicht ausschließlich automatisiert erstellt werden darf, sondern daß ein Mitarbeiter der Verwaltung letztlich die Entscheidung treffen muß. Welche Korrekturmöglichkeiten hat er aber, wenn der Verwaltungsakt das Resultat hochkomplexer Verarbeitungsabläufe ist?

Es ist daher nicht nur aus datenschutzrechtlichen Gründen dringend geboten, die Authentizität ausschließlich in automatisierten Dateien gespeicherten Datenbestände besonders wirksam zu sichern. Hierzu sind neue organisatorische und technische Verfahrensweisen zur Zugriffs-, Speicher- und Eingabekontrolle erforderlich.

Zuvor ist aber eindeutig festzulegen: Ist der Computerdatenbestand das Original, und sind die Ausdrucke nur eine Kopie oder umgekehrt? Bei einer Reihe neuentwickelter Verfahren war dies für uns selbst nach eingehenden Untersuchungen gemeinsam mit den Verfahrensentwicklern und Benutzern nicht immer eindeutig festzustellen (vgl. Tz. 4.2.8). Wir sehen deshalb die Gefahr, daß es in den nächsten Jahren verstärkt zu Situationen kommen wird, in denen die datenverarbeitenden Stellen intern nicht mehr feststellen oder nachweisen können, welche Daten zu welchen Zeitpunkten Gültigkeit hatten, und es nicht zu klären ist, welche "Beweiskraft" Computerausdrucke besitzen.

Was ist zu tun?
Die Behörden müssen klar festlegen, welcher Datenbestand der authentische ist: der in der Akte oder der im Computer gespeicherte. Ist letzteres der Fall, bedarf es spezifischer Sicherheitsmaßnahmen.

6.7

Ergebnisse von Prüfungskontrollen im Bereich der automatisierten Datenverarbeitung

6.7.1

Beanstandung akzeptiert ... (3. Auflage)

Die Ernsthaftigkeit der Bemühungen der Städte Kiel und Flensburg, datenschutzrechtliche und sicherheitstechnische Mängel abzustellen, ist nicht zu verkennen. Während man in Kiel nun offenbar endlich tätig werden möchte, bestehen in Flensburg nach wie vor Kapazitätsprobleme. Andere Behörden beseitigen die Defizite zügiger.

Die deutlichen Worte, mit denen wir im 17. Tätigkeitsbericht (Tz. 6.2.1) die Städte Kiel und Flensburg gemahnt haben, die im Rahmen von Prüfungen in den Jahren 1992 und 1993 beanstandeten datenschutzrechtlichen Mängel - wie von ihnen selbst versprochen - endlich zu beheben, haben ihre Wirkung nicht verfehlt. Dazu mag auch beigetragen haben, daß der Innenminister in den Beratungen des Tätigkeitsberichtes im Innen- und Rechtsausschuß von Abgeordneten gedrängt worden war, als Kommunalaufsichtsbehörde tätig zu werden, falls die beiden datenverarbeitenden Stellen weiterhin so zögerlich agieren.

Auf Befragen hat uns die Stadt Kiel jedenfalls im November 1995 mitgeteilt, sie bedauere es sehr, daß ihre Aktivitäten sowohl in den parlamentarischen Gremien als auch in der Presse ausgesprochen negativ dargestellt worden seien. Sie müsse allerdings unsere Behauptung, hier liege eine offensichtliche Verzögerungstaktik vor, zurückweisen. Wir nehmen dies zur Kenntnis, stellen aber fest, daß z.B. eine bereits im Jahr 1992 angekündigte "Geschäftsanweisung für den Einsatz der technikunterstützten Informationsverarbeitung bei der Landeshauptstadt Kiel" erst am 23.06.1995 in Kraft getreten ist. Inhaltlich mag diese Geschäftsanweisung in einigen Punkten noch verbesserungsfähig sein. Gegenüber den im Jahr 1992 vorgefundenen Gegebenheiten wäre es jedoch ein großer Fortschritt, wenn diese Regelungen nunmehr in allen Bereichen der Stadtverwaltung strikt eingehalten werden. Außerdem hat die Stadt Kiel angekündigt, das Städtische Amt für Organisation und Verwaltungsreform beabsichtige, Anfang 1996 in einer Sonderaktion nochmals alle von uns seinerzeit angesprochenen Punkte aufzugreifen und sämtliche Ämter, Betriebe, Referate und Einrichtungen der Landeshauptstadt diesbezüglich zu überprüfen. Wir werden uns über die Ergebnisse dieser Aktion zu gegebener Zeit ein Bild machen.

Auch die Stadt Flensburg hat uns über den Sachstand unterrichtet. Dabei wird in dramatischer Weise deutlich, in welchem Umfang die Verwaltungen bereits in der Technik "verfangen" sind, ohne die notwendigen Sicherheitsaspekte gewährleisten zu können. Der Magistrat teilte uns mit: "Zu Ihrem Bericht ... haben wir am 27.04.1994 eine erste Stellungnahme abgegeben und verschiedene geplante Abhilfemaßnahmen aufgezeigt. Leider müssen wir zugestehen, daß es bei etlichen Punkten bis heute (27.11.1995) weitgehend bei Absichten und Planungen geblieben ist." Die Personalkapazität der Abteilung "Informationstechnik" sei nämlich durch die gewaltigen Probleme beim Einsatz eines neuen automatisierten Finanzinformationssystems und im Zusammenhang mit der Räumung des Rathauses zum Zweck der baulichen Sanierung vollständig gebunden worden. Beim Finanzinformationssystem müsse man das Verfahren ungewollt zur Unterstützung der Entwickler in der Datenzentrale im Echteinsatz testen. Dabei habe man leider feststellen müssen, daß Datenschutzaspekte bisher nur sehr begrenzt programmtechnisch abgedeckt seien. Hinzu komme, daß die Mitarbeiter der Stadtverwaltung ca. 30 Monate über diverse Räumlichkeiten im Stadtgebiet verteilt arbeiten müßten, da komme es entscheidend auf den Aufbau und das Funktionieren einer weitreichenden informationstechnischen Vernetzung an. Wörtlich kommt die Stadt Flensburg zu folgendem Fazit: "Realistisch betrachtet gehen wir davon aus, daß wir vor allem durch das erforderliche Aufarbeiten der Mängel im Finanzinformationssystem erst ab Ende des 1. Quartals 1996 den notwendigen Freiraum erhalten werden, um die auch aus unserer Sicht dringend erforderlichen Maßnahmen und Regelungen zur besseren Gewährleistung des Datenschutzes endlich zu treffen. Diese Arbeiten erhalten dann erste Priorität und sollen im Laufe des kommenden Jahres umgesetzt werden."

Es ist zwar zu begrüßen, daß hier mit offenen Karten gespielt wird, auch ist die Ernsthaftigkeit der Bemühungen der Stadt anzuerkennen. Es bleibt aber die grundsätzliche Frage: Kann es verantwortet werden, daß neue datenverarbeitungstechnische Unzulänglichkeiten die Abarbeitung längst bekannter Mängel behindern? Anders formuliert: Sind die Datenverarbeitungsverantwortlichen in der Datenzentrale, in den Steuerungsgremien des Landes und der Kommunen und den Behördenleitungen sich wirklich sicher, daß derzeit bei der Einführung neuer Informationstechnik in der Kommunalverwaltung die Prioritäten richtig gesetzt werden? Zu den "Empfehlungen der Automationskommission der kommunalen Landesverbände zur Weiterentwicklung der technikgestützten Informationsverarbeitung in der Kommunalverwaltung Schleswig-Holsteins" (vgl. 15. TB, Tz. 6.3.4) und den "Leitaussagen zur Informationstechnik in der öffentlichen Verwaltung des Kooperationsausschusses ADV" (vgl. 16. TB, Tz. 6.1) bestehen jedenfalls erhebliche Divergenzen (vgl. hierzu auch Tz. 6.7.3).

Die Abarbeitung der datenschutzrechtlichen Defizite bei den anderen beiden im Jahr 1994 geprüften Behörden (vgl. 17. TB, Tzn. 6.2.3 u. 6.2.4) geht zügiger voran. Die Stadt Norderstedt konnte über eine Reihe in der Zwischenzeit erledigter Punkte berichten. Das Umweltministerium hat eine neue Dienstanweisung für den Umgang mit Datenverarbeitungsanlagen erarbeitet, die u.a. eine Aufgabenbeschreibung für die IT-Leitstelle sowie Regelungen für die Test- und Freigabeverfahren, die Protokollierung von verändernden Systemzugriffen, die Durchführung von Datensicherungen und die Verwendung von Datenträgern enthält.

Was ist zu tun?
Die Städte Kiel und Flensburg sollten unseren Beanstandungen nunmehr umgehend Rechnung tragen.

6.7.2

Verbesserungen beim Patientendatenschutz im Lübecker Klinikum ­ zentrale Probleme aber weiterhin ungelöst

Der Einsatz eines externen behördlichen Datenschutzbeauftragten hat offensichtlich zu einer Reihe von Maßnahmen zur Behebung von Mängeln in der allgemeinen Datensicherheit geführt. Über die Lösung von gravierenden Rechtsproblemen im Umgang mit Patientendaten wird bisher nur diskutiert, aber noch nichts Entscheidendes unternommen.

Der Umfang unserer Kritik an den unzulänglichen Sicherheitsmaßnahmen im Klinikum der Medizinischen Universität zu Lübeck (vgl. 17. TB, Tz. 6.2.2) hat nicht nur in den parlamentarischen Beratungen des 17. Tätigkeitsberichts, sondern auch in der Öffentlichkeit ein starkes Echo ausgelöst. Daß wir in ein "datenschutzrechtliches Wespennest" gestochen haben, wie eine Zeitung schrieb, mag die nachstehende Aufzählung der wesentlichen Aktivitäten des aufgrund unserer Prüfung engagierten externen behördlichen Datenschutzbeauftragten verdeutlichen.

Bereits im ersten Jahr seiner Tätigkeit sah er sich z. B. zu folgenden, aus unserer Sicht längst überfälligen Maßnahmen veranlaßt:

  • Unterrichtung der Mitarbeiter des Klinikums über das Datengeheimnis und ihre sonstigen datenschutzrechtlichen Pflichten,

  • Durchführung einer Datenschutz-Situationsanalyse im gesamten Universitätsklinikum,

  • Erarbeitung von Aufgabenbeschreibungen für die Datenschutzbeauftragten in den einzelnen Kliniken und Instituten,

  • Schulung dieser Mitarbeiter,

  • Herausgabe eines Datenschutzhandbuches,

  • Beteiligung an der Entwicklung des Klinik-Kommunikations-Systems und anderer automatisierter Verfahren,

  • Durchführung einer PC-Revision,

  • Überprüfung spezieller weiterer datenschutzrechtlicher und sicherheitstechnischer Aspekte.

Eines der wesentlichen Rechtsprobleme konnte aber weder der Datenschutzbeauftragte noch die Ministerin für Wissenschaft, Forschung und Kultur zu einem befriedigenden Abschluß bringen. Es geht um die im 17. Tätigkeitsbericht (6.2.2) dargestellte Verfahrensweise, daß Ärzte, die nicht an der Behandlung von Patienten beteiligt waren, deren Krankenakten ohne Einverständnis zu Forschungszwecken nutzten. Die Ministerin teilte uns dazu mit: "Hinsichtlich der grundsätzlichen Fragestellung zur datenschutzrechtlichen Einschränkung der Nutzung medizinischer Daten zu Forschungszwecken habe ich eine abschließende Klärung noch nicht herbeiführen können. Die Erörterungen mit den medizinischen Fakultäten der Universitäten sowie mit den Direktorien der beiden Universitätsklinika des Landes haben ergeben, daß eine stringente Anwendung der von Ihnen vertretenen Rechtsauffassung bedeuten würde, daß letztlich Tausende von Krankenakten nicht mehr zu Forschungszwecken zur Verfügung stehen würden."

Aus unserer Sicht ist diese Auskunft in mehrfacher Hinsicht nicht akzeptabel:

  • Die Auffassung der Universitäten und der zuständigen Aufsichtsbehörden dokumentiert ein bedenkliches Verhältnis zum Patientengeheimnis und zum ärztlichen Standesrecht. Dies wird deutlich, wenn man sich den Wortlaut der Berufsordnung vor Augen führt: "Zum Zweck der Forschung und Lehre dürfen die der Schweigepflicht unterliegenden Tatsachen und Befunde nur soweit mitgeteilt werden, als dabei die Anonymität des Patienten gesichert ist oder dieser ausdrücklich zustimmt." Eine klarer formulierte Rechtsnorm ist kaum vorstellbar. Ein Spielraum für eine mehr oder weniger "stringente Auslegung" besteht nicht.

  • Es mag sein, daß bei Beachtung der Rechtslage eine bestimmte Anzahl von Patientenakten, die Behandlungen aus früheren Jahren dokumentieren, für Forschungszwecke nicht zur Verfügung stehen, weil die Datenbestände nicht anonymisiert werden können und eine Einwilligung der Patienten nicht zu erlangen ist. Die Behauptung, es handele sich um Tausende von Akten, erscheint schon deshalb nicht stichhaltig, weil nur ein kleiner Prozentsatz der vorhandenen Hunderttausenden von Akten überhaupt für retrospektive Forschungszwecke von Bedeutung ist und für Einzelfälle in der Regel mehrere vergleichbare Akten als Alternativen in Betracht kommen dürften.

  • Wenn es aber von so essentieller Bedeutung wäre, daß grundsätzlich alle Patientenakten des Klinikums zu Forschungszwecken nutzbar sein müßten, dann ist nicht zu verstehen, daß nicht unmittelbar nach der Prüfungsmaßnahme im Herbst 1994 damit begonnen wurde, von den "neuen" Patienten entsprechende Einwilligungserklärungen zu erbitten. Immerhin werden in den Kliniken der Christian-Albrechts-Universität zu Kiel jährlich 45 000 und im Klinikum der Medizinischen Universität zu Lübeck jährlich 39 000 Patienten behandelt. Für rund 100 000 Patientenakten der Universitätsklinika im Lande hätte also die Nutzbarkeit für Forschungszwecke zwischenzeitlich rechtlich einwandfrei eröffnet werden können.

  • Eine Klinik der Medizinischen Universität zu Lübeck übergibt bereits heute ausschließlich anonymisierte Daten an die Forschungs- und Statistikdateien im Institut für Medizinische Statistik und Dokumentation, ohne daß dies zu erkennbaren negativen Auswirkungen auf dem Gebiet der wissenschaftlichen Forschung geführt hat. Die Initiative zur Anonymisierung ist vom Klinikdirektor selbst ausgegangen! Es ist nicht nachzuvollziehen, warum in ein und demselben Klinikum mit so unterschiedlichen Maßstäben gemessen wird.

Zusammenfassend kann also festgestellt werden, daß die Abarbeitung der allgemeinen sicherheitstechnischen und organisatorischen Mängel bei der personenbezogenen Datenverarbeitung im Klinikum offenbar mit der gebotenen Intensität in Angriff genommen worden ist, daß aber in bezug auf die Nutzung von personenbezogenen Daten für Forschungszwecke durch nichtbehandelnde Ärzte ein erhebliches Handlungsdefizit besteht. Diese Probleme sind in jedem Fall zu klären, bevor das geplante Klinik-Kommunikations-System in den "Echtbetrieb" überführt wird.

Was ist zu tun?
Das Wissenschaftsministerium sollte aus der eindeutigen Rechtslage für die Forschung mit Patientendaten die Konsequenzen ziehen.

6.7.3

Neues Finanzinformationssystem beanstandet

Bei Kontrollen in mehreren Kommunen haben wir gravierende Mängel des neuen Finanzinformationssystems beanstandet. Die Kommunen verlassen sich zu sehr auf den Softwarelieferanten Datenzentrale.

Nachdem in den vergangenen Jahren schwerpunktmäßig die Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung in großen Kommunen überprüft worden sind (vgl. Ausführungen zu den Prüfungen bei den Städten Kiel, Flensburg und Norderstedt im 16. TB, Tzn. 6.6.2 und 6.6.3; 17. TB, Tzn. 6.2.1 u. 6.2.3 sowie Tz. 6.7.1diesesBerichts), haben wir im abgelaufenen Jahr damit begonnen, auch mittlere und kleinere kommunale Organisationseinheiten sicherheitstechnischen Kontrollen zu unterziehen. Prüfungen bei den Städten Kappeln und Glückstadt konnten abgeschlossen werden, Kontrollen in Ratzeburg, Eutin und anderen Städten befinden sich in der Auswertung.

Die Prüfungsergebnisse weisen in einer Beziehung eine einheitliche Tendenz auf: Die gravierendsten Sicherheitsmängel beruhen auf Unzulänglichkeiten in den Konzepten für die Ausgestaltung der informationstechnischen Systeme und die Verwaltungsverfahren. Nur selten werden konzeptionell vorgesehene Sicherheitskomponenten von den Benutzern der Systeme und Verfahren fahrlässig oder bewußt konterkariert. Diese Feststellung wird durch die nachfolgende Zusammenstellung von Sachverhalten, die wir in der Praxis vorgefunden haben, untermauert (auf die Zuordnung zu den einzelnen geprüften Stellen wird bewußt verzichtet, da es nicht darum geht, eine einzelne Verwaltung "an den Pranger" zu stellen, sondern einen Trend aufzuzeigen):

  • Es fehlen Datenverbeitungskonzepte, aus denen sich für alle Beteiligten nachvollziehbar ergibt, wie und mit welchem Ziel die Verwaltungsabläufe automatisiert werden sollen (Soll-Regelung). Somit ist ein kritischer Abgleich zwischen Soll und Ist nicht möglich. Mängel werden nicht als solche erkannt, sondern als technikbedingte "Gegebenheiten" angesehen.

  • Auf Arbeitsplatzrechnern wird Software vorgehalten, die gar nicht zur Ausführung der für das betreffende Gerät zugelassenen Anwendung erforderlich ist.

  • Die Benutzer haben unkontrollierten Zugriff auf Systemfunktionen an Arbeitsplatz- oder Zentralrechnern.

  • Zugriffsrechte auf der lokalen Ebene können aufgrund fehlender Sicherheitssoftware nicht anwenderbezogen erteilt werden.

  • Versuche unbefugter Datenveränderungen und -löschungen sowie Virenangriffe können nicht abgewehrt werden.

  • Zentralrechner können von den Mitarbeitern der Verwaltung aufgrund unzureichender Ausbildung nur eingeschränkt administriert werden.

  • Externe Systembetreuer führen die Arbeiten unkontrolliert aus. In der Regel wird ihre Tätigkeit auch nicht protokolliert.

  • Diskettenlaufwerke sind permanent für einen (in der Regel überflüssigen) Datenaustausch geöffnet.

  • Verfahrenstests werden nur unzureichend durchgeführt und protokolliert; das gleiche gilt für Verfahrensfreigaben.

Diese Beispiele machen deutlich, daß die unter Tz. 6.1 dieses Berichts dargestellten Grundregeln weitgehend unbeachtet bleiben. So ist es nicht verwunderlich, daß wir bei unseren Prüfungen Beanstandungen "im Dutzend" aussprechen müssen.

Von besonderer Tragweite ist die Feststellung, daß derartige Sicherheitsmängel nicht nur auftreten, soweit kleinere Verwaltungen ihre automatisierte Datenverarbeitung selbst konzipieren. Auch wenn die Datenzentrale wie z.B. im Zusammenhang mit dem neuen MOSAIK-Konzept eingeschaltet ist, sind signifikante Mängel festzustellen. Kommunen, die derzeit mit Hilfe des Finanzinformationssystems (FIS) personenbezogene Daten im Echtbetrieb verarbeiten, müssen damit rechnen, daß bei einer eventuellen datenschutzrechtlichen Überprüfung aus folgenden Gründen Beanstandungen ausgesprochen werden:

  • Das Personenkontenkonzept läßt keine hinreichend wirksamen Zugriffsbeschränkungen zu. Insbesondere im Hinblick auf das Melde-, das Steuer-, das Sozialgeheimnis und die Pflichten zur Verschwiegenheit über Personaldaten lassen sich Rechtsverstöße bei bestimmten Konstellationen nicht vermeiden.
  • Einige der gewählten softwaretechnischen Lösungen lassen auf den Arbeitsplatzrechnern keine vollständige Abschottung gegen verändernde Zugriffe zu.

  • Das Einspielen von neuer oder geänderter Software erfolgt ohne eine entsprechende Freigabeempfehlung durch die kommunalen Landesverbände. Eigene Tests können die datenverarbeitenden Stellen faktisch nicht durchführen, da sie in der Regel nicht über den genauen Inhalt der Änderungen informiert sind und nicht über entsprechende Testbestände verfügen.

  • Die meisten datenverarbeitenden Stellen sind außerdem nicht in der Lage, die Fernwartungsaktivitäten wirksam zu überwachen. Im Ergebnis haben Behördenfremde die nahezu vollständige Verfügungsgewalt über Hardware, Software und Daten.

  • Das MOSAIK-Konzept enthält keine hinreichenden, verbindlichen Komponenten zur Datensicherheit. Die datenverarbeitenden Stellen werden dadurch dazu verführt, keine ergänzenden eigenen Sicherheitskonzepte und Risikoanalysen zu entwickeln.

Gerade der letzte Punkt weist auf die Ursachen für diese Situation hin. Die kommunalen Kunden der Datenzentrale verlassen sich nur zu gern darauf, von ihr rechtliche und sicherheitstechnische "Sorglospakete" zu erhalten. Immerhin sei es "ihre" Datenzentrale, und die Produktentwicklung werde durch die Vertreter der kommunalen Landesverbände im Verwaltungsrat mit gesteuert, da könne man verlangen bzw. davon ausgehen, daß die Produkte dieses Hauses nicht nur rechtlich einwandfreie Ergebnisse liefern, sondern auch, daß die Hard- und Softwarekonzepte im vollen Umfang den datenschutzrechtlichen Anforderungen entsprechen. Die Datenzentrale weist dagegen auf die vertraglichen Realitäten hin: Sie sei nur Softwarehaus und Hardwarelieferant. Beratungsdienstleistungen seien nicht Gegenstand der Hard- und Softwarelieferung, sie müßten im Rahmen des Consultings gesondert berechnet werden. Die Verantwortung für den rechtmäßigen und sicheren Einsatz ihrer Produkte bei den Kunden könne sie nicht übernehmen. Gleichwohl hat sie Modifikationen an den betreffenden Verfahren angekündigt.

Das Fazit aus datenschutzrechtlicher Sicht lautet:

Solange die von der Datenzentrale zu erbringenden Leistungen und die ergänzenden eigenen "Obliegenheiten" ihrer Kunden nicht für alle Verfahren eindeutig definiert werden, muß man auch weiterhin mit Rechts- und Sicherheitsproblemen rechnen. Es dürfte deshalb die Zeit reif sein für einen "runden Tisch", der die Zusammenarbeit der kommunalen Landesverbände, ihrer Automationskommission, deren Fachausschüsse, der Kommunalaufsichtsbehörden, der Rechnungsprüfungsbehörden, der Mitbestimmungsgremien und nicht zuletzt des Datenschutzbeauftragten auf eine neue, zukunftsorientierte Grundlage stellt.

Was ist zu tun?
Die datenschutzrechtlichen Mängel des neuen Finanzinformationssystems sollte die Datenzentrale so schnell wie möglich beseitigen.

6.7.4

Inanspruchnahme externer Dienstleister

Die Regelungen zum Sozialdatenschutz knüpfen die Zulässigkeit der Inanspruchnahme externer Dienstleister an strenge Bedingungen. Kostenüberlegungen verführen jedoch die Behörden häufig dazu, zu großzügige Maßstäbe anzulegen.

Eine Prüfung in der Versorgungsverwaltung zeigte auf, daß die Einschaltung externer Dienstleister in einem so sensiblen Bereich wie der Sozialdatenverarbeitung nur unter genauester Beachtung der gesetzlichen Rahmenbedingungen zu vertreten ist. Zwei Fallgestaltungen werden zur Zeit mit dem Landesversorgungsamt kontrovers diskutiert:

  • Kann es akzeptiert werden, daß Altakten, die medizinische und Sozialdaten enthalten, einem privaten Unternehmen zur Vernichtung übergeben werden? Reicht es aus, wenn das Unternehmen sich vertraglich verpflichtet, die verschlossenen Aluminiumcontainer, in denen die Unterlagen bei der Behörde gesammelt werden, erst unmittelbar vor dem Schreddern zu öffnen, oder bedarf es der Aufsicht der Behörde beim Transport und bei der Vernichtung?

  • Wir sind der Auffassung, daß sich aus den gesetzlichen Regelungen des Sozialgesetzbuches die Verpflichtung für den Sozialleistungsträger ergibt, auch in diesen Fällen die Verfügungsgewalt über zu vernichtende Sozialdaten zu behalten. Dies erscheint nur logisch, wenn man sich folgenden Ablauf vergegenwärtigt: Solange die Akten bearbeitet werden, gilt das strenge Sozialgeheimnis. Die Akten müssen stets unter Verschluß gelagert werden. Ist das Verfahren abgeschlossen, kommen sie bis zum Ablauf der Aufbewahrungsfrist in ein Archiv, zu dem nur bestimmte Mitarbeiter Zutritt haben. Steht die Vernichtung an, werden sie in einen verschlossenen Container geworfen, zu dem die Behörde selbst keinen Schlüssel hat. Haben sie aber das Gebäude verlassen, besitzt ein Unternehmen, das nicht Sozialleistungsträger ist, beides, den Schlüssel und die Akten.

  • Im Rahmen der Prüfung der Anträge auf Versorgungsrenten usw. sind in der Regel umfangreiche medizinische Untersuchungen erforderlich. Zu diesem Zweck beschäftigt die Versorgungsverwaltung eigene Ärzte. Wenn aber spezielle fachärztliche Fragen zu klären sind oder wenn der eigene ärztliche Dienst überlastet ist, werden zusätzlich auch externe Ärzte eingeschaltet. Auf diese Weise gelangen Sozialdaten in den Besitz von Personen, die zwar einem speziellen Berufsgeheimnis unterliegen, die aber nicht zu den "Leistungsträgern" gehören. Die Frage lautet: In welchem Umfang und wie lange dürfen die Sozialdaten von diesen Personen gespeichert werden?

  • Wir haben vom Landesversorgungsamt gefordert, daß in die vertraglichen Vereinbarungen mit den Ärzten hierüber konkrete Festlegungen aufgenommen werden. Aus datenschutzrechtlicher Sicht dürfen Antragsteller bei der Einschaltung externer Gutachter nicht schlechter gestellt sein, als wenn ein Mitarbeiter der zuständigen Behörde die Untersuchungen vornimmt. Es würde mithin dem Schutz des Sozialgeheimnisses dienen, wenn von den externen Ärzten verlangt würde, daß sie die Grundlagen und Einzelheiten der Begutachtung nur insoweit dokumentieren, wie sie dazu nach den standesrechtlichen Vorschriften verpflichtet sind. In den meisten Fällen dürfte es sich um einige wenige rein medizinische Daten handeln. Die Versorgungsverwaltung bezweifelt die rechtliche Möglichkeit, den Ärzten diesbezüglich Vorschriften zu machen.

Wir haben in dieser Angelegenheit das Sozialministerium eingeschaltet.
Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel